MFA matters… But it isn’t enough on its own

A MFA é importante… Mas não é suficiente por si só

Por

Nomes de usuário e senhas desprotegidos oferecem pouca defesa contra ataques de controle de contas. A autenticação multifator (MFA) tornou-se, com razão, o padrão de fato para fortalecer os controles de acesso.

Há uma razão pela qual quase todas as diretrizes de segurança cibernética o recomendam – a pesquisa da Microsoft sugere que habilitar a MFA pode Bloqueio acima de 99% de preenchimento automatizado de credenciais e ataques de phishing.

No entanto, mesmo as melhores implementações de MFA deixam uma lacuna crítica: senhas fracas, reutilizadas ou comprometidas. Quando um invasor ignora ou contorna a MFA (seja enganando um usuário para aprovar uma notificação por push ou explorando um fallback), essas mesmas senhas ruins se tornam a chave do invasor para seus sistemas.

É por isso que uma abordagem em camadas para segurança de identidade deve incluir higiene de senha robusta e MFA em cada ponto de login.

Os benefícios da MFA são inegáveis

Antes de explorarmos por que as senhas ainda são importantes, vamos recapitular brevemente o que a MFA traz para a mesa:

  1. Uma barreira extra à entrada: Mesmo que um invasor roube ou adivinhe sua senha, ele ainda precisará de um segundo fator (como um código único ou varredura biométrica) para concluir o login.
  2. Resiliência de phishing: Os tokens MFA e as aprovações baseadas em push elevam o nível das campanhas de coleta de credenciais. Roubar uma senha por si só não é suficiente.
  3. Alinhamento regulatório: Padrões como NIST recomendar MFA para contas confidenciais ou de alto valor. Implementá-lo ajuda a atender aos mandatos de conformidade em finanças, saúde, governo e muito mais.
  4. Confiança do usuário: Quando funcionários ou clientes sabem que suas contas estão protegidas por mais do que apenas uma senha, a confiança e o engajamento geralmente aumentam.
  5. Redução de custos: O investimento inicial em MFA paga dividendos em custos de violação evitados – honorários advocatícios, resposta a incidentes, danos à marca e muito mais.

Por que a MFA sozinha pode deixá-lo exposto

Apesar de seus pontos fortes, o MFA não é uma bala de prata e pode ser contornado. O excesso de confiança nele pode levar as organizações à complacência em torno do fator de autenticação mais básico: a senha. A defesa em camadas depende de cada camada manter seu peso, e uma senha é o ponto de entrada para o desafio do MFA.

Se essa senha for fraca, reutilizada ou já conhecida pelos invasores, eles estão um passo mais perto de violar seu perímetro.

Dispositivos perdidos ou quebrados, tokens esquecidos e redefinições da central de serviços geralmente voltam ao acesso somente por senha. Sem uma política de senha forte, esses cenários de “quebra-vidro” tornam-se pontos de entrada fáceis. O comportamento do usuário também não muda da noite para o dia – as organizações que adotam a MFA sem reforçar a educação sobre senhas frequentemente veem os usuários continuarem a escolher senhas fracas ou previsíveis.

Isso prejudica uma de suas defesas mais fortes.

Além disso, o próprio MFA pode ser direcionado. Técnicas como troca de SIM, bombardeio de prompt de MFA e engenharia social em torno de procedimentos de suporte técnico podem induzir usuários ou funcionários a aprovar logins fraudulentos.

Cinco táticas que os invasores usam para contornar o MFA

  1. Ataques de fadiga de MFA (também conhecidos como Bombardeio de prompt de MFA). Ao acionar dezenas de notificações push em rápida sucessão, os invasores desgastam as vítimas até que elas aprovem “apenas para fazer isso parar”.
  2. Troca de SIM e sequestro de SMS. O padrão de códigos únicos baseados em SMS expõe os usuários a ataques de rede móvel que entregam o controle do segundo fator ao adversário.
  3. Engenharia social no help desk. Fazendo-se passar por um usuário bloqueado, um invasor convence a equipe de suporte a desabilitar a MFA ou redefinir as credenciais, geralmente usando nada mais do que uma história plausível. Por exemplo, o recente grande hack no MGM Resorts.
  4. Sequestro de sessão e roubo de token. Cookies e tokens de sessão podem ser interceptados ou roubados por meio de malware e exploits man-in-the-middle, permitindo que os invasores ignorem as senhas e a MFA.
  5. Explorando métodos de backup. Perguntas de senha esquecida, códigos de recuperação e redefinições de e-mail frequentemente carecem do rigor dos canais primários de MFA, criando caminhos alternativos para as contas.

Camadas de senhas fortes e MFA

Nenhum controle único pode parar todos os ataques. Ao combinar defesas de senha abrangentes com MFA robusta em todos os sistemas críticos (logon do Windows, VPNs, área de trabalho remota, portais de nuvem e muito mais), você cria vários obstáculos para os adversários superarem. Mesmo se uma camada for bypaSSED, outros permanecem para bloquear ou detectar a intrusão.

Para fortalecer suas defesas, incorpore estas práticas recomendadas:

  • Ativar MFA: Se você ainda não o fez, este é o lugar óbvio para começar. Considere uma solução de MFA simples e eficaz, como Acesso seguro de operações especiais que podem proteger o logon do Windows, VPNs e conexões RDP.
  • Imponha comprimento e complexidade mínimos. Requer pelo menos 15 caracteres, pois o comprimento oferece a melhor proteção contra técnicas de força bruta. Senhas são a melhor maneira para fazer com que os usuários criem senhas fortes e longas.
  • Bloquear credenciais comprometidas conhecidas. Integre verificações em tempo real em relação a listas compiladas por violação para impedir que os usuários escolham senhas que já apareceram em vazamentos de dados. Política de senha do Specops bloqueia a criação de senhas fracas e verifica continuamente seu Active Directory em busca de mais de 4 bilhões de senhas violadas. Agende uma avaliação gratuita hoje.
  • Proteja sua central de serviços. Soluções como Central de serviços segura de Specops impor um desafio de MFA secundário para confirmar a identidade de qualquer pessoa que entre em contato com sua central de serviços.
  • Monitore padrões de login incomuns. Combine logs de senha e MFA para detectar anomalias, como logins de locais ou dispositivos desconhecidos, e acionar a autenticação avançada quando necessário.

A MFA reduz drasticamente o risco de acesso não autorizado, mas deve nunca Substitua a higiene de senha forte.

Trate as senhas como a camada de segurança importante que são. Aplique políticas que as mantenham longas, exclusivas e sem comprometimentos e, em seguida, adicione a MFA como a segunda linha de defesa crítica.

Juntos, eles formam uma estratégia de autenticação resiliente que manterá sua organização e seus usuários finais muito mais seguros.

Precisa de conselhos sobre MFA ou segurança de senha? Entre em contato.

Patrocinado e escrito por Specops Software.

Datalake – Azaeo:

TXT | JSON | JSONLD | XML | HTML | PDF